Logiciel anti-malware Malwarebytes a mis en évidence deux nouveaux programmes informatiques malveillants propagés par des sources inconnues ciblant activement les investisseurs en crypto dans un environnement de bureau.
Depuis décembre 2022, les deux fichiers malveillants en question – le ransomware MortalKombat et le malware Laplas Clipper – ont activement exploré Internet et volé des crypto-monnaies à des investisseurs imprudents, a révélé l’équipe de recherche sur les menaces, Cisco Talos. Les victimes de la campagne se trouvent principalement aux États-Unis, avec un pourcentage plus faible de victimes au Royaume-Uni, en Turquie et aux Philippines, comme indiqué ci-dessous.
Les logiciels malveillants travaillent en partenariat pour balayer les informations stockées dans le presse-papiers de l’utilisateur, qui est généralement une chaîne de lettres et de chiffres copiés par l’utilisateur. L’infection détecte alors les adresses de portefeuille copiées dans le presse-papiers et les remplace par une adresse différente.
L’attaque repose sur l’inattention de l’utilisateur à l’adresse du portefeuille de l’expéditeur, qui enverrait les crypto-monnaies à l’attaquant non identifié. Sans cible évidente, l’attaque s’étend aux individus et aux petites et grandes organisations.
Une fois infecté, le rançongiciel MortalKombat crypte les fichiers de l’utilisateur et dépose une note de rançon avec les instructions de paiement, comme indiqué ci-dessus. Révélant les liens de téléchargement (URL) associés à la campagne d’attaque, Talos’ rapport déclaré:
« L’un d’eux atteint un serveur contrôlé par un attaquant via l’adresse IP 193[.]169[.]255[.]78, basé en Pologne, pour télécharger le rançongiciel MortalKombat. Selon l’analyse de Talos, 193[.]169[.]255[.]78 exécute un robot d’exploration RDP, scannant Internet pour le port RDP 3389 exposé.
Comme expliqué par Malwarebytes, la « campagne tag-team » commence par un e-mail sur le thème de la crypto-monnaie contenant une pièce jointe malveillante. La pièce jointe exécute un fichier BAT qui permet de télécharger et d’exécuter le ransomware lorsqu’il est ouvert.
Grâce à la détection précoce des logiciels malveillants à fort potentiel, les investisseurs peuvent empêcher de manière proactive que cette attaque n’affecte leur bien-être financier. Comme toujours, Cointelegraph conseille aux investisseurs d’effectuer une diligence raisonnable approfondie avant d’investir, tout en garantissant la source officielle des communications. Consultez cet article de Cointelegraph Magazine pour savoir comment protéger les actifs cryptographiques.
En rapport: Le ministère américain de la Justice saisit le site Web du prolifique gang de rançongiciels Hive
D’un autre côté, alors que les victimes de ransomwares continuent de refuser les demandes d’extorsion, les revenus des ransomwares pour les attaquants ont chuté de 40 % à 456,8 millions de dollars en 2022.
Tout en révélant les informations, Chainalysis a noté que les chiffres ne signifient pas nécessairement que le nombre d’attaques est en baisse par rapport à l’année précédente.